ARP欺騙是一種非常古老的電子欺騙攻擊，雖然從誕生到現在已經過去了二十多年，但在很多網絡中仍然有效。之前寫的

沈傳寧：談談TCP/IP協議的學習?zhuanlan.zhihu.com

文章中也提到，我第一次接觸的網絡攻擊就是ARP欺騙攻擊，利用ARP欺騙成為全網電腦的“網關”，然后在通過轉發數據報文到真正的網關，從而成為全網計算機上網的“中間人”，實現對全網計算機的上網控制。要理解ARP欺騙原理，我們首先要了解ARP協議的工作機制，我在之前的文章已經說過了，如果了解了協議的工作機制，對攻擊的實現就不難理解了。

一、ARP協議工作機制

ARP是地址解析協議，是將IP地址解析成MAC地址的協議。為什么要解析MAC地址？

如果理解了OSI模型分層機制，了解封裝與分用的概念，就很好理解了。一個數據在發送前要進行逐層的封裝，你可以用現實的一個例子來想象：你給國外一個朋友寄一個手機作為生日禮物，這個寄出去的手機就是數據。那么這個手機快遞公司會裝到一個紙盒中。然后多個紙盒會打包成一個大郵包，然后多個郵包可能打包成一個更大的郵包，最終裝在一個集裝箱中用飛機或者船運出去。這個過程就是封裝。數據的發送也是這樣，一個數據包發送前需要在傳輸層進行封裝，然后送到互聯網絡層進行封裝，最后是送到網絡接口層進行封裝。傳輸層封裝的尋址地址是端口，互聯網絡層封裝的尋址是IP地址，而網絡接口層尋址就是MAC地址。很多時候我們訪問操作的時候其實只是指定了目的端的IP地址，例如執行

ping 192.168.1.1

這個命令時，你只告訴了計算機要ping的IP地址，可是數據發送出去進行封裝時需要知道發送的目的MAC地址，這樣才能在網絡接口層封裝時將目的MAC地址封裝到數據包頭部中，然后發送出去，交換機看到這個MAC地址，才知道要把數據包交給誰。如何獲得192.168.1.1的 MAC地址？這就是ARP協議的作用。

當你在計算機上輸入ping 192.168.1.1命令，并且敲了回車后， 計算機做了什么呢？

1)計算機會向全網廣播發出一個ARP請求報文，這個請求報文你可有理解為其實是問，誰是192.168.1.1這個IP地址的擁有者。

2)擁有這個IP地址的計算機在收到這個請求報文的時候，會回應一個ARP應答報文，在這個應答報文里邊會給出自己的MAC地址。

3)詢問的計算機收到了這個應答報文之后就知道了192.168.1.1這臺計算機對應的MAC地址。為了避免每發一個數據包就問一次，詢問計算機會把收到的這個MAC地址給記下來，也就是放在緩存里。那么下一次他再要去發數據包的時候，緩存地址里已經有了192.168.1.1這個IP地址對應的MAC地址，那么他就不需要再去問了，直接從緩存里取出來進行封裝。

這就是ARP協議的工作過程。下面這張圖就是計算機上ARP表，也就是ARP緩存。

二、 ARP欺騙的原理

如果對ARP有所了解，應該清楚ARP有兩個特點。

第一是ARP是無狀態的協議，所謂無狀態的意思就是我不一定要你問我，我才能應答，我可以主動去回答。局域網里的計算機可以主動發ARP應答報文到其他的計算機那里去。

第二操作系統對ARP的實現上，ARP的緩存是可以動態刷新的，也就是說當一個ARP應答過來的時候，它會把原來已有的應答給刷新掉。

把這兩個特點理解了，那么ARP欺騙你就很容易理解了，攻擊者要做的就是偽造ARP應答去刷新其他計算機里邊的ARP緩存。

我們可以參考上面這張圖，我們可以看到攻擊者C發出了一個偽造的ARP應答報文。我們可以看到這個偽造的ARP應答報文指定的MAC地址是他自己的，但是IP地址是192.168.1.1，并不是他自己的。這樣的應答報文被收到以后，我們可以看到計算機會把它放到緩存里。這時候在計算機B上就形成了一個錯誤的ARP緩存。192.168.1.1這個IP地址在緩存中的ARP表中對應的MAC地址是c的地址。那么當計算機b要給192168.1.1發送數據包的時候，它在網絡接口層進行封裝的時候，封裝的MAC地址按照錯誤的緩存，封裝的目的MAC地址是攻擊者192168.1.3這臺計算機的MAC地址，標準的交換機是2層設備，會按照MAC地址來分發數據包，也就是說這個數據包會被交換機交給攻擊者計算機192.168.1.3。

也就是說攻擊者成功的欺騙了計算機B，讓計算機B以為它是192.168.1.1。

如上圖，如果攻擊者在做一個數據包的轉發，這就是我在《談談TCP/IP協議的學習》這篇文章里介紹的中間人攻擊。

三、如何防御

關于ARP欺騙的具體實現我就不介紹了，有很多工具可以幫助你實現，例如 KALI Linux里邊arpspoof。這些只是敲幾個命令而已。

理解了原理，如何防御，我想也很容易理解了。

1）使用三層交換

剛才我們談到之所以ARP欺騙能成功，是因為標準的交換機是二層的設備，會使用MAC地址來分發數據包，如果使用三層交換設備，那么三層交換機會使用IP地址來進行數據包的分發，也就意味著即使ARP欺騙使得封裝了錯誤的MAC地址也沒問題。因為三層交換機使用三層的地址，也就是IP地址來分發數據包。所以不會受到aIP欺騙的影響。

2）使用靜態的ARP緩存

在計算機終端上通過ARP -s這個命令生成靜態的APP緩存，也就是這個緩存不可修改。那么攻擊者偽造的aIP應答報文就無法更改緩存了，也就沒法完成ARP欺騙。但是這種方法對于局域網當中有較多的終端的情況下不太適用，因為要手工管理這么多的計算機MAC地址和IP地址，這是非常麻煩的一件事。

3）使用ARP防火墻

為了應對ARP欺騙，很多計算機終端都可以安裝第三方的軟件ARP防火墻。這種ARp防御工具可以幫助抵御ARb欺騙。

4）劃分子網

劃分子網也能幫助我們比較好的抵御ARP欺騙，因為ARP不跨路由，除非特殊情況下路由器設置了進行ARP代理。因此ARP欺騙只能對同一網段的其他計算機進行，劃分子網就能更好的降低ARP欺騙攻擊的風險。

總結

以上是生活随笔為你收集整理的反arp攻击软件_谈谈电子欺骗中的ARP欺骗的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。